Megosztás a következőn keresztül:

Fenyegetésbesorolás a Office 365-höz készült Microsoft Defender-ben

A hatékony fenyegetésbesorolás a kiberbiztonság kulcsfontosságú összetevője, amely lehetővé teszi a szervezetek számára a potenciális kockázatok gyors azonosítását, értékelését és mérséklését. A Office 365-höz készült Microsoft Defender fenyegetésbesorolási rendszere fejlett technológiákat, például nagy nyelvi modelleket (LLM-eket), kis nyelvi modelleket (SLM-eket) és gépi tanulási (ML) modelleket használ az e-mail alapú fenyegetések automatikus észleléséhez és besorolásához. Ezek a modellek együttműködve átfogó, méretezhető és adaptív fenyegetésbesorolást biztosítanak, így a biztonsági csapatok előrébb járnak a felmerülő támadásokkal szemben.

Az e-mail-fenyegetések adott típusú, például adathalászat, kártevők és üzleti e-mailek feltörése (BEC) szerinti kategorizálásával rendszerünk a kártékony tevékenységek elleni védelem érdekében használható megállapításokat biztosít a szervezetek számára.

Fenyegetéstípusok

A fenyegetéstípus a fenyegetések alapvető jellemzők vagy támadási módszer alapján történő elsődleges kategorizálására utal. Ezeket a széles körű kategóriákat a támadási életciklus korai szakaszában azonosítják, és segítenek a szervezeteknek megérteni a támadás természetét. Gyakori fenyegetéstípusok a következők:

  • Adathalászat: A támadók megbízható entitásokat személyesítenek meg, hogy megtévesszék a címzetteket olyan bizalmas információk felfedésében, mint a bejelentkezési hitelesítő adatok vagy a pénzügyi adatok.
  • Kártevő: Kártékony szoftverek, amelyeket rendszerek, hálózatok vagy eszközök sérülésére vagy kihasználására terveztek.
  • Levélszemét: Kéretlen, gyakran irreleváns, tömegesen küldött e-mailek, általában rosszindulatú vagy promóciós célokra.

Fenyegetésészlelések

A fenyegetésészlelés azokra a technológiákra és módszerekre vonatkozik, amelyek adott mutatók vagy gyanús tevékenységek azonosítására szolgálnak egy e-mailben vagy kommunikációban. A fenyegetésészlelések az üzenetben található anomáliák vagy jellemzők azonosításával segítenek észlelni a fenyegetések jelenlétét. Gyakori fenyegetésészlelések:

  • Hamis: Azonosítja, hogy a feladó e-mail-címe megbízható forrásnak tűnik-e.
  • Megszemélyesítés: Észleli, ha egy e-mail-üzenet egy törvényes entitást, például vezetőt vagy megbízható üzleti partnert személyesít meg, hogy a címzetteket káros műveletekre váltsa.
  • URL-hírhedtség: Felméri az e-mailben szereplő URL-címek hírnevét, hogy megállapítsa, rosszindulatú webhelyekhez vezetnek-e.
  • Egyéb szűrők

Fenyegetésbesorolás

A fenyegetésbesorolás a fenyegetés szándék és a támadás konkrét jellege alapján történő kategorizálásának folyamata. A fenyegetésbesorolási rendszer LLM-eket, ML-modelleket és más fejlett technikákat használ a fenyegetések mögötti szándék megértéséhez és pontosabb besoroláshoz. A rendszer fejlődésével új fenyegetésbesorolások várhatók, hogy lépést tartsanak a kialakulóban lévő támadási módszerekkel.

A különböző fenyegetésosztályokat az alábbi lista ismerteti:

  • Előzetes díj csalás: Az áldozatoknak nagy összegű pénzügyi jutalmakat, szerződéseket vagy díjakat ígérnek, cserébe előre kifizetett kifizetésekért vagy kifizetések sorozatáért, amelyeket a támadó soha nem kézbesít.

  • Üzleti intelligencia: Szállítókkal vagy számlákkal kapcsolatos információkérések, amelyeket a támadók a további célzott támadások profiljának létrehozásához használnak, gyakran egy megbízható forrást utánzó, hasonló tartományból.

  • Visszahívásos adathalászat: A támadók telefonhívások vagy más kommunikációs csatornák használatával manipulálják az egyéneket bizalmas információk felfedésére vagy a biztonságot veszélyeztető műveletek végrehajtására.

  • Kapcsolatfelvételi intézmény: Email üzeneteket (gyakran általános szöveget) annak ellenőrzéséhez, hogy a beérkezett üzenetek aktívak-e, és hogy kezdeményezni tudja-e a beszélgetést. Ezeknek az üzeneteknek a célja, hogy megkerüljék a biztonsági szűrőket, és megbízható hírnevét keltsék a rosszindulatú jövőbeli üzeneteknek.

  • Hitelesítő adatok adathalászata: A támadók megpróbálják ellopni a felhasználóneveket és jelszavakat azáltal, hogy becsapják az egyéneket, hogy hamis webhelyen vagy manipuláló e-mail-üzeneteken keresztül adjanak meg hitelesítő adatokat.

  • Hitelkártya-gyűjtés: A támadók megpróbálják ellopni a hitelkártyaadatokat és más személyes adatokat azáltal, hogy arra kényszerítik a személyeket, hogy hamis e-mail üzeneteken, webhelyeken vagy valódinak tűnő üzeneteken keresztül nyújtsák fizetési adataikat.

  • Zsarolás: A támadó azzal fenyeget, hogy bizalmas információkat ad ki, feltöri a rendszereket, vagy rosszindulatú műveleteket hajt végre, hacsak nem fizet váltságdíjat. Az ilyen típusú támadások általában pszichológiai manipulációval kényszerítik az áldozatot a megfelelőségre.

  • Ajándékkártyák: A támadók megbízható személyeket vagy szervezeteket személyesítenek meg, meggyőzve a címzettet, hogy ajándékkártya-kódokat vásároljanak és küldjenek el, gyakran társadalommérnöki taktikák használatával.

  • Számlacsalás: Azok a számlák, amelyek valódinak tűnnek, egy meglévő számla részleteinek módosításával vagy egy csalárd számla beküldésével, azzal a szándékkal, hogy a címzetteket megcsalják a támadónak történő fizetésre.

  • Bérszámfejtési csalás: Manipulálhatja a felhasználókat a bérlista vagy a személyes fiók adatainak frissítésére, hogy a pénzösszegeket a támadó ellenőrzése alá vonják.

  • Személyazonosításra alkalmas adatok (PII) összegyűjtése: A támadók személyes adatok igénylésére megszemélyesítenek egy magas rangú személyt, például egy vezérigazgatót. Ezeket az e-mail üzeneteket gyakran külső kommunikációs csatornákra, például a WhatsAppra vagy az észlelés elkerülésére szolgáló szöveges üzenetekre való váltás követi.

  • Közösségi OAuth-adathalászat: A támadók egyszeri bejelentkezést (SSO) vagy OAuth-szolgáltatásokat használnak arra, hogy megtévessze a felhasználókat a bejelentkezési hitelesítő adataik megadásában, és jogosulatlan hozzáférést szerezzenek a személyes fiókokhoz.

  • Feladatcsalás: Rövid, látszólag biztonságos e-mail üzenetek, amelyek segítséget kérnek egy adott feladathoz. Ezek a kérések úgy vannak kialakítva, hogy információkat gyűjtsenek, vagy olyan műveleteket indukáljanak, amelyek veszélyeztethetik a biztonságot.

Ahol elérhetők a fenyegetésbesorolási eredmények

A fenyegetésbesorolás eredményei a következő felületeken érhetők el a Office 365-höz készült Defender: